Posté le décembre 16, 2021 à 20:25
LES DONNÉES DE 750 000 PATIENTS D’UN GROUPE MÉDICAL DE L’OREGON ONT ÉTÉ COMPROMISES LORS D’UN RÉCENT PIRATAGE INFORMATIQUE
Le groupe d’anesthésiologie de l’Oregon (OAG) a confirmé qu’une attaque par ransomware a compromis son réseau, entraînant la violation des informations sensibles des patients et des employés.
Selon le rapport, un groupe de hackers ukrainien connu sous le nom de HeloKitty est responsable de l’incident de piratage et la violation concerne les informations de 750 000 patients et de 522 employés de l’OAG, y compris d’anciens travailleurs.
Les hackers ont exploité un bug dans un pare-feu tiers
Dans une déclaration, la société a indiqué qu’elle avait découvert la violation après que le FBI eut saisi un compte contenant des fichiers d’employés et de patients du BVG sur HelloKitty.
Selon l’agence, le groupe a exploité un bug dans le pare-feu tiers du réseau de l’entreprise, permettant aux hackers d’avoir accès au réseau.
Le FBI a ajouté que les hackers ont pu voler des informations, notamment les noms des patients, les numéros des dossiers médicaux, les noms des prestataires d’assurance, les diagnostics accompagnés de descriptions, les dates ou les services, ainsi que les numéros d’identification des assurances.
Les attaquants ont crypté les fichiers après l’attaque
Les auteurs de la menace avaient potentiellement accès aux données des employés actuels et anciens, notamment à leurs noms, numéros de sécurité sociale, adresses et autres informations figurant sur les formulaires W-2.
L’attaque a été révélée le 11 juillet après que les hackers ont bloqué l’accès de l’OAG à ses serveurs, l’obligeant à utiliser des sauvegardes hors site pour restaurer ses systèmes et reconstruire ses systèmes informatiques à partir de zéro. L’équipe de sécurité de l’entreprise a d’abord lancé le processus de restauration, mais a dû s’assurer les services d’experts en cybersécurité externes pour enquêter sur la situation.
Le mois dernier, le BVG a fourni un rapport de cybersécurité détaillé montrant que les hackers ont accédé aux données cryptées du BVG après avoir extrait les informations d’identification de l’administrateur. L’entreprise a mis en place un protocole de sécurité à authentification multifactorielle après avoir remplacé le pare-feu tiers affecté.
Les utilisateurs concernés doivent ouvrir un compte mySocial Security
Pour aider les victimes, l’OAG offre 12 mois de surveillance du crédit et des services de protection de l’identité Experian, moyennant des frais.
L’entreprise a également conseillé aux clients concernés d’être très vigilants lorsqu’ils répondent à des e-mails non sollicités. Elle a également demandé aux utilisateurs de participer au programme IdentityWorks de l’OAG, qui offre une assurance contre le vol d’identité pouvant atteindre un million de dollars.
Il a également été conseillé aux utilisateurs dont le numéro de sécurité sociale a été compromis de créer un compte de sécurité mySocial qui leur permettra de réclamer leur SSN.
Le HelloKitty, qui est actif depuis l’année dernière, est connu pour cibler les systèmes Windows, tandis que certaines de ses variantes sont utilisées pour lancer des attaques sur les systèmes Linux.
Le groupe a également été accusé du piratage notoire du développeur de jeux polonais CD Project Red, à l’origine de jeux comme The Witcher Series et Cyberpunk 2077.
Le groupe utilise des vulnérabilités connues
Alors que certains hackers sont spécialisés dans l’exploitation des zero-days, le groupe HelloKitty utilise généralement des bugs connus dans les produits SonicWall pour lancer ses attaques. Après avoir obtenu l’accès au réseau, ils utilisent des outils accessibles au public comme Powershell Commando de Mandiant ou Cobalt Strike.
Le FBI a également déclaré que le groupe a utilisé d’autres outils accessibles au public, comme Mimikatz et Bloodhound, pour cibler le réseau et élever les privilèges avant de voler et de chiffrer les données. Il est donc difficile pour l’entreprise victime de récupérer ses données.
Le groupe de ransomware utilise la technique de double extorsion
Certaines variantes du ransomware HelloKitty ont également été découvertes, notamment Vice Society et une variante de ransomware sans nom.
En octobre, le FBI a informé le public et les organisations de l’existence de ce groupe, déclarant à l’époque que celui-ci utilisait une double technique d’extorsion pour pousser ses victimes à payer une rançon.
Le FBI a déclaré que les hackers avertissent généralement les victimes de répondre en payant une rançon spécifique. Si elles ne répondent pas à temps, le groupe lance une attaque par déni de service distribué (DDoS) sur le réseau de l’entreprise.
Le FBI a ajouté que le groupe de ransomware ne demande pas un montant spécifique pour la rançon, car cela dépend de l’ampleur des dégâts qu’il peut causer via une attaque DDoS. Ainsi, s’il s’agit d’une grande organisation avec le risque de perdre des informations critiques, le paiement de la rançon est généralement plus élevé.
Dans la plupart des cas, ils exigent que la rançon soit payée en Bitcoin ou en d’autres crypto-monnaies pour s’assurer que personne ne puisse vendre leur identité. Si la rançon n’est pas payée, les hackers menacent de poster les données compromises sur le site Babuk ou de les vendre sur le darknet.
